NOD32 примерно через каждые 3-5 мин выдает предупреждение, что svhost.exe создает файл u8aac.tmp (само название файла может меняться, но все с расширением tmp), зараженный TrojanDownloader.Dirat.an.
NOD32 примерно через каждые 3-5 мин выдает предупреждение, что svhost.exe создает файл u8aac.tmp (само название файла может меняться, но все с расширением tmp), зараженный TrojanDownloader.Dirat.an.
Извините, что логи в отдельном посте. глюкануло меня
1.Отключитесь от инета и обязательно отключить мониторинг антивируса.
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.3.временные файлы в системе удалите.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('bootrom8.dll',''); QuarantineFile('c:\windows\system32\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe',''); QuarantineFile('c:\windows\system32\vhosts.exe',''); QuarantineFile('C:\WINDOWS\system32\msftp.dll',''); QuarantineFile('c:\windows\system32\drivers\spool.exe',''); QuarantineFile('c:\documents and settings\Администратор\local settings\application data\cftmon.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\3689.tmp',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\6948.tmp',''); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('c:\windows\system32\vhosts.exe'); DeleteFile('bootrom8.dll'); BC_DeleteSvc('symavc32'); BC_DeleteSvc('msupdate'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(12); RebootWindows(true); end.
4.включите антивирус & Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17307
5.сделайте новые логи и присоединить к следующему сообщению.
Последний раз редактировалось drongo; 31.01.2008 в 17:46.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин загрузил. Файл сохранён как080131_090149_virus_47a1e2dd01e14.zip
вот новые логи
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: bootrom8 - C:\WINDOWS\
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\w32sys15.exe',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\cftmon.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); DeleteFile('C:\WINDOWS\system32\w32sys15.exe'); BC_ImportDeletedList; BC_DeleteSvc('smtpdrv'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 30
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\vhosts.exe - Trojan-Downloader.Win32.Small.ibd (DrWEB: BackDoor.Dax)
Уважаемый(ая) serpl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.